.png)
エンド・ツー・エンドのAPIセキュリティ
APIの脆弱性を自動的にマッピングし、スキャンします。長いDASTや入念なペンテストに費やす時間とリソースを節約します。
自動APIディスカバリー- REST & GraphQLファジングサポート
- OWASPの主要リスクを網羅
.png)
.png)
「他のツールの使用経験はあったが、市場を再検討し、現状を確認したかった。Aikido すぐに最有力候補として浮上しました。"
Aikido 開発者にとって、ちょっとした学習プラットフォームだと考えています。
セキュリティはもはや後付けではありません。Aikido、それをDevOpsパイプラインに直接統合し、ワークフローのシームレスな一部となるようにしています。
.svg){kind=logo}
世界5万人以上の開発者に選ばれる
自動化されたAPIディスカバリーとセキュリティ
Aikido 、APIをテストするためのサンプルトラフィックデータを生成します。 Swagger-to-traffic.と組み合わせて Zen自動APIディスカバリと組み合わせることで、(文書化されていない)エンドポイントや忘れ去られたエンドポイントが見落とされることはありません。大規模なインフラや最新のドキュメントは必要ありません。
- 更新されたSwaggerドキュメント/OpenAPI仕様の入手
- 攻撃対象領域を理解する
- APIを完全にカバーする
.png)
.png)
コンテキストAPIスキャン
通常のコードチェックを超える。APIの脆弱性と欠陥を自動的にスキャンします。実際の攻撃をシミュレートし、一般的なセキュリティ脅威についてすべてのAPIエンドポイントをスキャンします。
- 手作業の削減
- ペンテストの模倣、自動化、スケールアップ
- コンテキストを考慮したDASTでより多くの脆弱性を見つける
従来のAPIセキュリティを刷新する
従来のAPIスキャナーや既存のソリューションでは不十分だ:
手動入力が必要:ユーザーは通常、テストのためにサンプル値を入力しなければならず、時間を浪費する。- 不完全なテスト:多くのツールはフィールド値の送信を完全にスキップするため、スキャンが徹底されない。
- 企業レベルの複雑さ:他のソリューションはロードバランサーに依存していることが多く、中堅企業には利用しにくい。
AikidoのAPIスキャナーは型破りだ:
Swagger-to-traffic:代表的なサンプル値をフィールドに自動的に入力し、テストの質と深度を向上させます。- ロードバランサー不要:企業インフラを持たない中規模組織での使いやすさを考慮して設計されています。
- 動的APIディスカバリー:Zenを使用して、AikidoはSwaggerファイルを自動作成し、文書化されていないAPIを特定し、エンドポイントを見落とさないようにする。
AikidoのAPIスキャナーの仕組み
Swaggerとトラフィックデータを元にしたエンドポイントのキュレーション作業
AikidoのAPI Scannerは、ファジングと呼ばれる手法によって、テスト用のパラメータを持つAPIエンドポイントのリストをコンパイルする。高品質で現実的なサンプルデータを得るために、Swagger-to-trafficを使用します。
AIによるフィードバック
私たちのAI搭載モデルは、値の送信から再送信リクエストのレスポンス分析に至るまで、手作業で行うペンテストをできるだけ忠実に模倣し、効率的なセキュリティテストを実現します。
余計な企業的オーバーヘッドに縛られず、自由に動けるチームのために作られています
.png)
.png)
断片的なセキュリティ・ツールをオールインワンのコード&クラウド・セキュリティ・プラットフォームに置き換える
よくあるご質問
AikidoのAPI Scannerはどのように活用すればよいですか?
API Scannerのテストはステージング環境でのみ行うことをお勧めします。なぜなら、実際に起こりうる(そしてアプリをダウンさせる可能性のある)激しい攻撃をシミュレートしているからです。
「ファジング」とはどういう意味か?
ファジングとは、不正または予期しない入力を大量にAPIに送信し、入力検証の失敗、バッファオーバーフロー、インジェクション攻撃、その他のセキュリティ上の欠陥といった潜在的な脆弱性を検出するためのテスト手法です。
APIファジングの目的は、攻撃者に悪用される可能性のあるAPIの実装の弱点や脆弱性を発見することである。予期しない、あるいは不適切にフォーマットされたデータを注入することによって、ファジングはAPIが入力を処理する方法における欠陥や意図しない動作を明らかにすることができる。このアプローチは、攻撃者がシステムを侵害するために利用するかもしれないセキュリティリスクを特定するのに役立ちます。
Swagger-to-trafficとは?
当社のLLMでお客様のSwagger (OpenAPI) ドキュメントを分析することにより、お客様のAPIのスキーマと期待される入力に合わせた意味のあるデータ例を生成することができます。この生成されたデータは、脆弱性を発見するためのファジングテスト(DAST)で使用されます。
API ScannerはすべてのAPIフォーマットに対応できますか?
現在、RESTとGraphQLに対応しています。APIはしばしば、従来のAIモデルでは処理が難しい循環参照のような、複雑で型にとらわれないデータ形式を含んでいます。Aikidoは、インテリジェントなグラフチェックシステムでこれを解決し、大規模言語モデル(LLM)によるシームレスな処理を保証するために、循環チェーンを切断します。
さらに、当社のアプリ内ファイアウォールであるZenと組み合わせて使用すると、Aikido Swaggerドキュメントを自動作成することができ、新しく作成されたAPIエンドポイントを自動的にドキュメント化し、脆弱性をテストすることができます。
Swaggerドキュメントの自動作成機能を利用するには、Zen 別途購入する必要がありますか?
Zen すべてのプランに含まれています。詳しくは料金ページをご覧ください。
API Scannerは、私のペンテストプラクティスに取って代わることができますか?
そうですね。私たちのシステムは、手動ペンテスターと比較して、より多くの(または他の)問題を発見することがよくあります。私たちはAPIスキャナーの完全性を信頼していますが、人間の独創的なアプローチが、時折、追加的な問題やユニークな問題を発見することがあることをお忘れなく。
申し訳ありませんが、現在適切なAPIドキュメントが未整備の状態です。代わりにこちらのリソースを使用してもよろしいでしょうか?
はい!エンタープライズグレードのAPIスキャナとは異なり、Aikidoのソリューションは、大規模なインフラや最新のドキュメントを必要とせずに動作します。適切なSwaggerドキュメント/OpenAPI仕様が不足している場合は、当社のアプリ内ファイアウォールZenを稼働させるだけで対応できます。
当社のアプリ内ファイアウォールを使用できない(または使用したくない)場合は、APIスキャナを動作させるためにAPIドキュメントを提供する必要があります。
開発フローを壊すな
